CVE-2026-21722
Mis à jour :
Vulnérabilité dans le plugin WCFM Marketplace pour WooCommerce
Une faille de sécurité, référencée sous le code CVE-2026-21722, a été identifiée dans le plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce, un module populaire pour la plateforme WordPress. Cette vulnérabilité, de type Insecure Direct Object Reference (IDOR), concerne toutes les versions du plugin jusqu’à la version 3.7.0 incluse.
Elle résulte d’un manque de validation des autorisations adéquates dans le contrôleur AJAX wcfm-refund-requests-form. Ce défaut permet à des acteurs malveillants, même sans authentification préalable, de soumettre des demandes de remboursement frauduleuses pour n’importe quel article ou commande.
Points clés :
- Type de vulnérabilité : Insecure Direct Object Reference (IDOR).
- Produit affecté : Plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce pour WordPress.
- Versions concernées : Jusqu’à et incluant la version 3.7.0.
- Impact : Permet à des attaquants non authentifiés de générer des demandes de remboursement arbitraires.
Vulnérabilités :
- CVE : CVE-2026-21722
- Description : Référencement direct non sécurisé d’objets (IDOR) dans le contrôleur AJAX
wcfm-refund-requests-form.
Recommandations :
Bien que l’article ne fournisse pas de recommandations spécifiques de correction, la nature de la vulnérabilité suggère qu’une mise à jour du plugin serait la solution la plus probable pour combler cette faille. Les utilisateurs du plugin WCFM Marketplace sont donc invités à surveiller la publication de nouvelles versions et à appliquer les correctifs dès qu’ils sont disponibles.